使用拦截器Filter修补输入框的xss漏洞

最新推荐文章于 2024-07-11 17:44:10 发布
最新推荐文章于 2024-07-11 17:44:10 发布
阅读量1.7k 收藏
点赞数 1
分类专栏: JAVA 文章标签: filter xss漏洞 输入框漏洞 java过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyt_java/article/details/56670248
版权 
package cmcc.jx.ict.xsgj.filter.xss;


import java.io.IOException;
import java.util.Iterator;
import java.util.List;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.apache.commons.fileupload.FileItem;
import org.apache.commons.fileupload.FileItemFactory;
import org.apache.commons.fileupload.FileUploadException;
import org.apache.commons.fileupload.disk.DiskFileItemFactory;
import org.apache.commons.fileupload.servlet.ServletFileUpload;

public class XssFilter implements Filter
{
	FilterConfig	filterConfig	= null;

	public void init(FilterConfig filterConfig) throws ServletException
	{
		this.filterConfig = filterConfig;
	}

	public void destroy()
	{
		this.filterConfig = null;
	}

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		chain.doFilter(new XssHttpServletRequestWrapper(
				(HttpServletRequest) request), response);
	}
}

 

package cmcc.jx.ict.xsgj.filter.xss;

import java.io.ObjectInputStream.GetField;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.ibatis.reflection.invoker.GetFieldInvoker;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper
{
	public XssHttpServletRequestWrapper(HttpServletRequest servletRequest)
	{
		super(servletRequest);
	}
	
    public Map getParameterMap() {

        HashMap paramMap = (HashMap) super.getParameterMap();
        paramMap = (HashMap) paramMap.clone();

        for (Iterator iterator = paramMap.entrySet().iterator(); iterator.hasNext(); ) 
        {
            Map.Entry entry = (Map.Entry) iterator.next();
            String [] values = (String[])entry.getValue();
            for (int i = 0; i < values.length; i++) {
                if(values[i] instanceof String){
                    values[i] = cleanXSS(values[i]);
                }
            }
            entry.setValue(values);
        }
        return paramMap;
    }
    
    @Override  
    public String[] getParameterValues(String name) {  
        String[] values = super.getParameterValues(name);  
        if (values == null) {  
            return null;  
        }  
        String[] newValues = new String[values.length];  
  
        for (int i = 0; i < values.length; i++) {  
            newValues[i] = cleanXSS(values[i]);  
        }  
  
        return newValues;  
    }  
	
	public String getParameter(String parameter)
	{
		super.getParameterMap();
		String value = super.getParameter(parameter);
		if (value == null)
		{
			return null;
		}
		return cleanXSS(value);
	}
	
	public String getHeader(String name)
	{
		String value = super.getHeader(name);
		if (value == null)
			return null;
		return cleanXSS(value);
	}
	
	public String getQueryString()
	{
		String str = super.getQueryString();
		if(str == null)
			return null;
		return cleanXSS(str);
	}

	private String cleanXSS(String value)
	{
		 if (value == null || "".equals(value)) {  
	            return value;  
	        }  
		 	value = value.replaceAll("<", "<").replaceAll(">", ">");
	        value = value.replaceAll("\\(", "(").replaceAll("\\)", ")");
	        value = value.replaceAll("'", "'");
	        value = value.replaceAll("\"", """);
	        return value;  
	}

}

 

  <filter>
  	<filter-name>xssFilter</filter-name>
  	<filter-class>cmcc.jx.ict.xsgj.filter.xss.XssFilter</filter-class>
  </filter>
  
  <filter-mapping>
  	<filter-name>xssFilter</filter-name>
  	<url-pattern>/*</url-pattern>
  </filter-mapping>




 

zyt_ java
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss过滤拦截器
癸酉金鸡的博客
04-30 1222
SpringBoot过滤器过滤get及post请求中的XSS和SQL注入 (推荐) package com.orchard.pomeloweb.config; import com.google.common.collect.Maps; import com.orchard.common.filter.XssFilter; import org.springframework.boot.web....
xss输入前对输入内容进行处理和跨域浏览器设置
weixin_57246351的博客
09-26 389
xssjava 修复XSS跨站脚本漏洞XssFilter实现防止XSS攻击
最新发布
qq_35320491的博客
07-11 849
<filter> <filter-name>xssFilter</filter-name> <filter-class>com.wj.apps.base.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-patte
ibatis执行like查询时要注意注入漏洞
java.lang.NullPointerException
07-08 327
看《ibatis in action》,里面提到了使用like进行模糊查询的时候,会有注入漏洞。举例说明如下:   &lt;select id="getSchoolByName" resultMap="result"&gt; select * from tbl_school where school_name like '%$name$%' ...
SpringMVC拦截器不起作用
Dtdnchengxuyuan的博客
10-08 374
jdk 1.8 spring5.0.2版本,Maven3.6 tomcat 9.3快速构建webapp工程 写好的拦截器不起作用,无法拦截请求 确认代码没有问题,配置没有问题,路径没有问题 网上查询说可能是mvc:annotation-driven/问题,删除之后问题仍然存在 网上说可以将<mvc:interceptors>的配置另外写个xml,并在主xml文件中使用import导...
Java利用拦截器处理XSS漏洞
sunon_的博客
04-29 3391
Java利用拦截器处理XSS漏洞 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者 使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有的网页时,就会出 现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户 会话、破坏网站或将用户重定向到恶意站点。 在表单提交或者 url 参数传递前,对需要的参数进行过滤; 2.过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、” (引号)、 ‘(单引号)、%(百分比符号
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
防sql注入和xss攻击, springmv拦截器
07-24
防sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
防止input框输入的javascript代码
04-13
可以有效的阻止在hutml文档的input框中输入内容,纯手写,经检测可以顺利运行
JSP过滤器防止Xss漏洞的实现方法(分享)
01-08
针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。 那就是利用Servlet的过滤器机制,编写定制的XssF
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
在SpringBoot框架中,我们可以使用XSSFilter来预防这类攻击。 首先,理解XSS攻击的本质是关键。XSS攻击是通过在网页中注入可执行的脚本,当用户访问被注入脚本的页面时,这些脚本会在用户的浏览器环境中运行,从而...
SQL+XSS漏洞修复方案
04-13
总之,SQL注入和XSS漏洞的修复需要开发者具备良好的安全意识,并在编程时遵循最佳实践。通过使用预编译语句、输入验证和内容转义,我们可以大大降低这些风险,保护用户的个人信息和系统的完整性。在实际项目中,定期...
预防XSS攻击和SQL注入XssFilter
07-23
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin...
SpringBoot 防止XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3404
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSS和SQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
springmvc文件上传错误
judyfun的专栏
12-14 1441
spring mvc 上传时   org.apache.catalina.connector.RequestFacade cannot be cast to org.springframework.web.multipart.MultipartHttpServletRequest 解决方法   添加配置: springmvc-servlet.xml代码 <bean
配置拦截器xss和sql注入
香菇猫的博客
11-19 6496
web项目防sql注入
百度编辑器 xss漏洞修复
07-13
百度编辑器是一款常用的在线编辑器工具,但在使用过程中,存在着某些xss漏洞,需要及时修复以保障用户的安全和信息的完整性。 首先,针对百度编辑器的xss漏洞,修复措施主要可以从以下几个方面入手。 1. 输入过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值